[SOLUCIONADO] Spynet no me conectó después de autoinfectarme

Buenas:
Despues de mucho leer y probar, no consigo autoinfectarme,me registre en no-ip cree un host:
evo.no-ip.biz
con ip: 159.1.1.1
pass:XXXXX

Configuro el spynet 2.6 según un tutorial... Pero no consigo conectarme ni conmigo mismo. Uso el puerto 3460. Os detallo como lo hago y haber si sabéis donde fallo:

- abro spynet
- nuevo usuario: evo
- selecciono puerto: 3460

CREAR SERVIDOR:
nuevo usuario ; evo
dns y puerto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:3460
identificacion :try
contraseña: 1234

INSTALACIÓN SERVIDOR:
directorio instalacion; windows
durectorio: windl32
nombre fichero;win32.exe

Selecciono: persistente,fichero oculto,cambiar fecha de creacion,borrar al ejecutar.
- mutex: a1234a
- antidebbuger: marco todo

crear servidor:  ( v= seleccionado)
- usar icono : v
- comprimir con upx: v
- usb : desmarcado
- p2p spreader: v

server.exe#crac.exe#
no lo uno a ningún archivo y le doy a crear servidor:

Se crea el server, lo ejecuto y me da estos problemas-errores:

no se puede ejecutar.....falta msvcr120.dll : instalo vc 86 redistributable (visual c++ ), ese aviso desaparece. Ahora me salen todo el rato cartelitos de error no se encuentra: nss3.dll, mozglue.dll. Firefox a detectado un problema y debe cerrarse............

Se me olvidaba...... en el router abro asi el puerto 3460. Router vodafone vdsl, modelo vh4032n

Entro al panel de configuracion del router:
Entro en NAT:
- Aplicación: evo (le pongo el mismo nombre para no liarme,,,,,)
- Protocolo: tcp   
- Primer Puerto Externo:3460   
- Último Puerto Externo:3460   
- IP de destino:192.168.0.193  (es la ip que e da el router, cmd,ipconfig.......)
- Primer puerto interno:3460
- Ùltimo puerto interno:3460
- Aceptar

Pero nada de nada aparte de los problemas de que el firefox debe cerrarse....y no lo tengo ni abierto (uso qupzilla). En el spynet 2.6 se queda abajo el mensaje de esperando puerto 3460

PD:en mi router puedo asignar una ip fija a una mac, seria posible o adecuado asignarle siempre desde el router la misma ip al ordenador en cuestion ( tarjeta wifi) lo haria mediante la mac, teninedo en cuenta que solo uso ese ordendor para aprender con rats.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
evo.no-ip.biz
con ip: 159.1.1.1
pass:XXXX

Todo correcto, aunque la IP debe de ser la IP pública, puedes consultarla en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
configuro el spynet 2.6 segun un tutorial...pero no consigo conectarme ni conmigo mismo.
usaria el puerto 3460.

El puerto tiene que estar abierto en el router como TCP y asignada a la dirección IP privada de tu PC (se consulta en cmd > ipconfig > Dirección IP), mas adelante veo que lo haces bien, podrías asignar en Propiedades de Red una dirección IP estática por si acaso cambia la IP ya que el puerto TCP tiene que estar abierto a dicha IP.




Respecto a los errores, usa Windows 7 y si te da problemas usa otro RAT como Cybergate. Deberías poder ejecutarlo sin darte problemas de DLL u otros componentes.

Y por último lo más importante, ES NORMAL QUE NO FUNCIONE ya que si tu configuras tu Servidor para conectarse desde afuera no podrás establecer conexión, para poder autoinfectarte deberías de realizar otro tipo de configuración ya que la configuración que estas haciendo es para infectar fuera de tu Red.

¿Entonces que deberías cambiar? Pues tienes que cambiar No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:3460 por 127.0.0.1:3460 entonces ahora generas el Server y lo ejecutas.


Eso es todo, saludos!

Verdaderamente así me paso a mi me auto infecte y después no me volví a infectar pero después probé con el puerto local 127.0.0.1 e inmediatamente me auto infecte pero el punto no es infectarte lo más importante es probar la conexión inversa q es para eso el Spynet es un troyano de conexión inversa probarlo local mente no te asegura q esta bien configurado tienes que buscar como realizar las pruebas remotas con el server y su conexión a su cliente verificando la configuración del noip y el puerto abierto

Enviado desde mi SM-A500M mediante Tapatalk

No me hagáis caso porque hace bastante tiempo que no toco el remoting pero creo que no os podéis autoinfectar utilizando vuestra no-ip.
En los últimos momentos en los que practiqué con los Rats comprobé que a través de este servicio(no-ip) no recibía conexión, los medios que utilizaba para ver las conexiones eran a través de consola de windows tipeando netstat -ano o utilizando netsagent, para la desinfección utilizaba process explorer.

Resumiendo: creo que de tu noip a tí mismo no funciona

Oh amigo, Spy Net se me hizo un infierno. También trate de usarlo y jamás lo pude hacer funcionar. Opté por crear esa clase de virus desde cero, por ejemplo con Kali Linux, ahí los puedes crear y hay uno que es indetectable por Anti Virus y no tienes que preocuparte tanto.

Sin embargo espero puedas hayar solución a tu problema

Primero, pedir disculpas por el retraso al contestar........tengo horarios de trabajo un poco raritos y muchos dias seguido.....asi que cuando puedo me conecto.......lo dicho perdon por el retraso.

Segundo,muchas gracias a todos cuervo,hu3co,nitro_x_net y por supuesto stiuver. me pensare vuestros consejos.

Lo único unas dudas para Stiuvert:

Yo tengo esto en la configuracion errónea:
- dns y puerto:
- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:3460

Me dices que debe ser la ip publica, pero no deberia de ser una no-ip ,tengo entendido que se hace por seguridad......

contando que mi ip publica sea :
- 159.1.1.1
- Debería de quedar asi ? evo.159.1.1.1:3460    o solo: 159.1.1.1:3460

Y si mi No-IP asignada seria:
- 200.1.1.1
- Debería de ser entonces: evo.200.1.1.1:3460   o solo: 200.1.1.1:3460

Por que eso no me queda claro del todo,por eso pegunto. En relación a usar otro s.o ,la verdad que tengo el xp en ese portatil y no se si podria instalar el w7 por compatibilidad hardware asi que prefiero probar todavía con el XP y ya veré si no va instalar el w7. Si no instalaría una versión mas moderna del Spynet la 2.7 o directamente instalaría el Cybergate, que creo va a ser la mejor opción.
Y no me autoinfectare ya que un rat es para acceso remoto...,asi que no me queda otra que infectar un sobremesa que tengo y probar, eso si, no le marcare persitencia,ni ocultar.....para una vez verificado que va el server,limpiarlo..........

Me refería que cuando configuras tu No-IP en la página oficial debes configurarlo con la dirección IP pública, además necesitas descargar su software e instalarlo, se llama No-IP DUC y debes tenerlo siempre abierto y actualizado  (seleccionas tu cuenta y clicas en refresh).

Después tu Servidor tiene que ir configurado con el host que pusiste, ejemplo "underc0de.no-ip.com:3460"

Un saludo

bien, creo que ya lo tengo, de hecho tenia el DUC descargado............version 4.1.1

¿Cual es mi IP?
IP Publica: 159.1.1.1 mirado en la pagina de cual es mi ip publica,y es la misma la que tengo puesta en el DUC y configurada en el host de mi no-ip

pero me sale este mensaje:

Suelen darse dos casos de IP Publica

Si tienes varios ordenadores conectados en red y a su vez a un router la IP Publica la que tiene el router sea de cable o adsl e independiente de los ordenadores que tengas conectados.
Si por el contrario solo tienes un equipo conectado mediante un modem de cable o adsl, la IP Publica es la que tendrá el ordenador.

yo me conecto a traves de un router, influye en algo?

ya me queda claro que
evo.no-ip.biz:3460
estaba bien.....gracias

pd: si me da problemas el puerto 3460 podria usar previa configuracion el 2302 que me marca en la pagina de  cual es mi ip abierto?
me pone en la pagina de ip-puertos

   2302      TCP      Age off Empires

y deberia configurar esa regla en el router como con el puerto 3460?
Entro en NAT:
- Aplicación: evo (le pongo el mismo nombre para no liarme,,,,,)
- Protocolo: tcp   
- Primer Puerto Externo:2302
- Último Puerto Externo:2302
- IP de destino:192.168.0.193  (es la ip que e da el router, cmd,ipconfig.......)
- Primer puerto interno:2302
- Ùltimo puerto interno:2302
- Aceptar

Exactamente, lo tienes todo perfecto a simple vista. No te preocupes por la dirección IP pública porque dándole click en Refresh te la asignará automáticamente.

Sobretodo no uses un puerto el cual se esté utilizando para otra cosa,  en principio si es de un juego mientras no esté en uso lo podrás usar para el RAT.

Y en principio eso es todo, sigue probando y otra cosa a tener en cuenta...  Activa la opción "persistente"  en la configuración del Server.


Saludos

Hola,

Un error comun es que no te puedes infectar 2 veces con el mismo server.
Modifica el mutex, directorio de instalación, nombre de proceso, etc.

Y vuelve a probar.

Saludos!
ANTRAX

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Exactamente, lo tienes todo perfecto a simple vista. No te preocupes por la dirección IP pública porque dándole click en Refresh te la asignará automáticamente.

Sobretodo no uses un puerto el cual se esté utilizando para otra cosa,  en principio si es de un juego mientras no esté en uso lo podrás usar para el RAT.

Y en principio eso es todo, sigue probando y otra cosa a tener en cuenta...  Activa la opción "persistente"  en la configuración del Server.


Saludos

vale, en principio el puerto esta libre......asi que seguire probando y gracias por tu ayuda

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola,

Un error comun es que no te puedes infectar 2 veces con el mismo server.
Modifica el mutex, directorio de instalación, nombre de proceso, etc.

Y vuelve a probar.

Saludos!
ANTRAX

oido cocina, por cierto una pregunta:

si despue de infectarme paso el malwarebytes.......y en teoria me desinfeccto podria usar el mismo server otra vez para reifectarme o no?
es mejor aun asi cambiar la configuracion como dices, por si acaso.....?

otra duda:
suelo infectar otro ordenata con xp pro sp3 para hacer pruebas.....pero dicho ordenata tiene muchos archivos y varios hdds,con lo cual cada scaneo completo es eterno......asi que hay alguna configuracion inicial muy basica para ver si solo conecta.......y que resulte facil desinfectar?

uso spynet 2.7 ( estoy aprendiendo en principio con este)
tambien
cibergate  ( tengo el 1.01.8 ,tambien 1.0.30 version publica ,y el 3,4 cracekado,que por lo que he leido falla en algunos aspectos.......)

me gusta mas cybergate,lo veo algo mas estable....pero probare spynet primero para aprender.

La mejor forma de desinfectarte es desde el cliente del RAT, una vez infectado verás que hay opciones de "desinstalar server" o "eliminarlo".

Lo mejor es como dice ANTRAX generando un nuevo Server para que el mutex sea distinto,  aunque antes prueba con el mismo porque yo antiguamente hacia pruebas con un solo Server y nunca tuve problemas.

Si necesitas desinfectarte puedes analizar con Malwarebytes el registro de Windows, con eso es suficiente y sino manualmente lo borras desde regedit.


Un saludo

ok gracias por la ayuda, tendre en cuenta vuestros consejos.
lo de desistalar el server con el mutex   a veces no me va muy fino........asi que probare los 2 sistemas desistalar server con mutex y pasar el malwarebytes.....como me comentas solo scaneando el registro de windows quedaria desinfectado,pero no seria mejor scanear la carpeta windows entera pues dependiendo de donde haya seleecionado que se instale el server.exe (por ejemplo carpeta system32.....? si solo analizando-desinfectando el registro igual no es suficiente,no??


comentaste que marcase la opcion de "persistente" eso que hace ?

---

desisto, no hay manera, infecto el otro ordenador con xp pro sp3 y no hace mas que saltar errores del server que falta nss3.dll ,mozgue.dll,msvcr100dll. las instalo y me salta un error en la liberia nss3.dll de no se puede ...........ni lo he apuntado,ya estoy frito,  me cambiare de rat, probablemente al dark comet o el cybergate ,prefiero dark comet por lo que he podido ver....ya que no puedo instalar w7 en el ordenador de prueba ni en el infectado por problemas de compatibildad hardware, y claro mejor usar algo mas actual.

si alguien tiene una idea estoy abierto a todo.........
para que veais que primero intento informarme he leido que para evitar ese problema de dlls deberia de encryptar el server,pero ni se hacerlo ni que encryptador usar ni si merece la pena perder el tiempo con el spynet que ya tiene sus añitos.....

En primer lugar, lo del mutex es para generar un nuevo Server, es decir, en la configuración generas un nuevo mutex para que sea distinto y luego creas el Server y vuelves a infectar la máquina de pruebas.

La opción "persistente" es para que el Server no pierda la conexión una vez se reinicia el que PC o que esté cierre el proceso y no vuelva a ejecutarse por si solo. Es por eso que se recomienda activar esta opción.

Respecto a los errores que te dan te recomendaría otro RAT, por ejemplo Cybergate no te daría errores en Windows XP o Windows 7.

Sigue probando y nos comentas.

Saludos

ok, probare pero tengo claro que me pasare a dark comet o cybergate ,ya que spynet da muchos errores,
lo del mutex creo que lo tengo claro  , es decir te digo "mi sistema" .
creo un server lo configuro y como mutex le pongo por ejemplo
pico1pico,
falla la conexion con lo cual no puedo usar el mutex para desistalar el server.exe.....
creo otro server,
le cambio parametros como donde se instala......y de mutex le pongo pico2pico.....
y asi hasta que algun dia consiga conectar,pero cada dia tengo mas claro que estoy casi seguro que con el spynet lo tengo crudo, es mas en el router he asignado temporalmente para probar a mi ip la funcion DMZ para descartar problemas de puertos cerrados.....vamos que solo me queda hacer un ping desde una red exterior via telnet a mi equipo para asegurarme, o usar google  pero con dmz es "seguro" que ese equipo tiene abiertos los puertos

Perdona pero creo que no nos explicamos bien, creo que ahora lo entenderás con la siguiente captura que he hecho:



¿Lo ves? Tienes que clicarle en "Random" para generar una nueva clave de registro. Solamente tienes que modificar esto cuando intentes infectar el mismo PC dos veces, para que la clave sea distinta. Vuelvo a insistir que esto no es del todo necesario ya que yo siempre he podido infectar el mismo PC en varias ocasiones.

Puedes probar de realizas un test de puertos para salir de dudas, eMule (P2P) por ejemplo tiene un escaner de puertos muy fiable, sigue probando y nos cuentas. Por cierto, Spy-Net en la versión 2.6 lo he estado probando años atrás y nunca tuve errores de DLL

Saludos

ok probare y os comento


pd:como os comente tardo bastante en responder.......

sigo igual , es mas lo he configurado para que no inyecte,pero no conecta, y para mas inri antes he desistalado el  antivirus por si acaso......pero nada el spynet 2.6 no conecta ni el cybergate tampoco, esto empieza a ser algo personal, asi que si me decis que mas puedo probar ,por que yo estoy un poco ofuscado con el asunto.

no se si sera tema de no-ip......os pongo como lo tengo

-----------------------

v  star this aplication  automatically when....

v enable system service.........

networ adapter ( lo tengo en default windows) decir que me conecto por wifi a internet y en este apartado puedo seleccionar la tarjeta wireless ,pero he probado y nada de nada

v  detect my ip using remote methods
      v  use alternative ip detection method

v= seleccionado

-----------------------------------
 

Quizás lo que te puse en los post de arriba es el problema, vamos a hacer una cosa y así descartamos:

Cuando crees el server como te ha dicho Stiuvert  lo ejecutas como siempre, abres una consola y tipeas netstat -ano, si en el retorno de la consola ves una conexión TCP apuntando a tu ip pública o en su caso ves tu no-ip  entonces llevo razón en que de tu no-ip a ti mismo no puedes conectarte.

Para comprobar que tienes bien configurado la no-ip también desde consola haciendo un ping a tu no-ip te devolverá la ip pública y sabrás que la no-ip está haciendo su trabajo correctamente.

Con estas dos pruebas quedará zanjado el tema, sólo te quedaŕá una más que será la definitiva ir a algún compañero en otra red y que te deje hacer las pruebas(Se lo mandas por correo en un rar con password y le dices que lo ejecute en su pc) una vez lo ejecute deberá conectar él hacia tí.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para comprobar que tienes bien configurado la no-ip también desde consola haciendo un ping a tu no-ip te devolverá la ip pública y sabrás que la no-ip está haciendo su trabajo correctamente.

Hay que aclarar que ese ping debe ser desde otra red que no sea la misma en donde tienes el cliente de no-ip.

Saludos!
ANTRAX